Mengelola sertifikat TLS/SSL di Layanan Federasi Direktori Aktif dan WAP di Windows Server 2016

Artikel ini menjelaskan cara menyebarkan sertifikat TLS/SSL baru ke server Layanan Federasi Direktori Aktif (AD FS) dan Web Proksi Aplikasi (WAP) Anda.

Catatan

Cara yang disarankan untuk mengganti sertifikat TLS/SSL ke depannya untuk farm Layanan Federasi Direktori Aktif adalah dengan menggunakan Microsoft Entra Koneksi. Untuk informasi selengkapnya, lihat Memperbarui sertifikat TLS/SSL untuk farm Layanan Federasi Direktori Aktif (AD FS).

Dapatkan sertifikat TLS/SSL Anda

Untuk farm LAYANAN Federasi Direktori Aktif produksi, sertifikat TLS/SSL tepercaya publik direkomendasikan. Layanan Federasi Direktori Aktif mendapatkan sertifikat ini dengan mengirimkan permintaan penandatanganan sertifikat (CSR) kepada pihak ketiga, penyedia sertifikat publik. Ada berbagai cara untuk menghasilkan CSR, termasuk dari Windows 7 atau PC yang lebih tinggi. Vendor Anda harus memiliki dokumentasi untuk proses ini.

• Pastikan sertifikat memenuhi persyaratan sertifikat AD FS dan Web Proksi Aplikasi TLS/SSL.

Sertifikat diperlukan

Anda harus menggunakan sertifikat TLS/SSL umum di semua server AD FS dan WAP. Untuk persyaratan terperinci, lihat Persyaratan sertifikat AD FS dan Web Proksi Aplikasi TLS/SSL.

Persyaratan sertifikat TLS/SSL

Untuk persyaratan, termasuk penamaan akar kepercayaan dan ekstensi, lihat Persyaratan sertifikat AD FS dan Web Proksi Aplikasi TLS/SSL.

Ganti sertifikat TLS/SSL untuk Layanan Federasi Direktori Aktif

Catatan

Sertifikat AD FS TLS/SSL tidak sama dengan sertifikat komunikasi Layanan Federasi Direktori Aktif yang ditemukan di snap-in Manajemen Layanan Federasi Direktori Aktif. Untuk mengubah sertifikat AD FS TLS/SSL, Anda perlu menggunakan PowerShell.

Pertama, tentukan apakah server LAYANAN Federasi Direktori Aktif Anda menjalankan mode pengikatan autentikasi sertifikat default atau mode pengikatan TLS klien alternatif.

Ganti sertifikat TLS/SSL untuk Layanan Federasi Direktori Aktif yang berjalan dalam mode pengikatan autentikasi sertifikat default

Layanan Federasi Direktori Aktif secara default melakukan autentikasi sertifikat perangkat pada port 443 dan autentikasi sertifikat pengguna pada port 49443 (atau port yang dapat dikonfigurasi yang bukan 443). Dalam mode ini, gunakan cmdlet Set-AdfsSslCertificate PowerShell untuk mengelola sertifikat TLS/SSL seperti yang ditunjukkan pada langkah-langkah berikut:

1. Pertama, Anda perlu mendapatkan sertifikat baru. Anda bisa mendapatkannya dengan mengirimkan permintaan penandatanganan sertifikat (CSR) ke pihak ketiga, penyedia sertifikat publik. Ada berbagai cara untuk menghasilkan CSR, termasuk dari komputer Windows 7 atau yang lebih tinggi. Vendor Anda harus memiliki dokumentasi untuk proses ini.

   • Pastikan sertifikat memenuhi persyaratan sertifikat AD FS dan Web Proksi Aplikasi SSL

2. Setelah Anda mendapatkan respons dari penyedia sertifikat Anda, impor ke penyimpanan komputer lokal di setiap Layanan Federasi Direktori Aktif dan WAP.

3. Di server LAYANAN Federasi Direktori Aktif utama, gunakan cmdlet berikut untuk menginstal sertifikat TLS/SSL baru:

Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'

Thumbprint sertifikat bisa ditemukan dengan menjalankan perintah ini:

dir Cert:\LocalMachine\My\

Ganti sertifikat TLS/SSL untuk Layanan Federasi Direktori Aktif yang berjalan dalam mode pengikatan TLS alternatif

Saat dikonfigurasi dalam mode pengikatan TLS klien alternatif, AD FS melakukan autentikasi sertifikat perangkat pada port 443. Ini juga melakukan autentikasi sertifikat pengguna pada port 443, pada nama host yang berbeda. Nama host sertifikat pengguna adalah nama host LAYANAN Federasi Direktori Aktif yang sebelumnya ditambahkan dengan certauth, misalnya certauth.fs.contoso.com. Dalam mode ini, gunakan cmdlet Set-AdfsAlternateTlsClientBinding PowerShell untuk mengelola sertifikat TLS/SSL. Cmdlet ini tidak hanya mengelola pengikatan TLS klien alternatif tetapi semua pengikatan lainnya di mana LAYANAN Federasi Direktori Aktif mengatur sertifikat TLS/SSL juga.

Gunakan langkah-langkah berikut untuk mengganti sertifikat TLS/SSL Anda untuk Layanan Federasi Direktori Aktif yang berjalan dalam mode pengikatan TLS alternatif.

1. Pertama, Anda perlu mendapatkan sertifikat baru. Anda bisa mendapatkannya dengan mengirimkan permintaan penandatanganan sertifikat (CSR) ke pihak ketiga, penyedia sertifikat publik. Ada berbagai cara untuk menghasilkan CSR, termasuk dari komputer Windows 7 atau yang lebih tinggi. Vendor Anda harus memiliki dokumentasi untuk proses ini.

   • Pastikan sertifikat memenuhi persyaratan sertifikat AD FS dan Web Proksi Aplikasi TLS/SSL.

2. Setelah Anda mendapatkan respons dari penyedia sertifikat Anda, impor ke penyimpanan komputer lokal di setiap Layanan Federasi Direktori Aktif dan WAP.

3. Di server LAYANAN Federasi Direktori Aktif utama, gunakan cmdlet berikut untuk menginstal sertifikat TLS/SSL baru:

Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'

Thumbprint sertifikat bisa ditemukan dengan menjalankan perintah ini:

dir Cert:\LocalMachine\My\

Pertimbangan lain untuk sertifikat TLS/SSL dalam pengikatan autentikasi sertifikat default dan mode pengikatan TLS alternatif

• Set-AdfsSslCertificate cmdlet dan Set-AdfsAlternateTlsClientBinding adalah cmdlet multi-simpul, sehingga mereka hanya perlu berjalan dari yang utama. Cmdlet juga memperbarui semua simpul di farm. Perubahan ini baru di Server 2016. Pada Server 2012 R2, Anda harus menjalankan cmdlet di setiap server.
• Set-AdfsSslCertificate cmdlet dan Set-AdfsAlternateTlsClientBinding harus berjalan hanya di server utama. Server utama harus menjalankan Server 2016, dan Anda harus meningkatkan tingkat perilaku farm ke 2016.
• Set-AdfsSslCertificate cmdlet dan Set-AdfsAlternateTlsClientBinding menggunakan PowerShell Remoting untuk mengonfigurasi server LAYANAN Federasi Direktori Aktif lainnya, pastikan port 5985 (TCP) terbuka pada simpul lain.
• Set-AdfsSslCertificate cmdlet dan Set-AdfsAlternateTlsClientBinding memberikan izin baca utama adfssrv ke kunci privat sertifikat TLS/SSL. Prinsipal ini merepresentasikan layanan AD FS. Tidak perlu memberikan akses baca akun layanan Layanan Federasi Direktori Aktif ke kunci privat sertifikat TLS/SSL.

Ganti sertifikat TLS/SSL untuk Proksi Aplikasi Web

Jika Anda ingin mengonfigurasi keduanya, pengikatan autentikasi sertifikat default atau mode pengikatan TLS klien alternatif pada WAP, Anda dapat menggunakan Set-WebApplicationProxySslCertificate cmdlet. Untuk mengganti sertifikat WAP TLS/SSL di setiap server WAP, gunakan cmdlet berikut untuk menginstal sertifikat TLS/SSL baru:

Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'

Jika cmdlet di atas gagal karena sertifikat lama telah kedaluwarsa, konfigurasi ulang proksi dengan menggunakan cmdlet berikut:

$cred = Get-Credential

Masukkan kredensial pengguna domain yang merupakan administrator lokal di server LAYANAN Federasi Direktori Aktif

Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'

Tautan terkait

• Dukungan AD FS untuk pengikatan nama host alternatif untuk autentikasi sertifikat
• AD FS dan Informasi properti KeySpec sertifikat